高通修复三项Adreno GPU零日漏洞 已被用于针对性攻击

高通近日发布了新的安全补丁，修复了其Adreno图形处理器驱动程序中的三项零日漏洞，据称，这些漏洞影响了数十个芯片组，并且已在针对Android设备的攻击中被利用，可能允许攻击者获取设备控制权或安装间谍软件。

这三项漏洞分别为CVE-2025-21479、CVE-2025-21480和CVE-2025-27038。

其中，前两项为图形组件中的授权错误漏洞，攻击者可通过特定命令序列在 GPU 微代码中执行未授权命令，导致内存损坏，严重程度评分为 8.6（高）。第三项为使用后释放（use-after-free）漏洞，在Chrome中使用Adreno GPU驱动程序渲染图形时，会导致内存损坏，严重程度评分为7.5（高）。

这些漏洞最初由谷歌Android安全团队在2025年1月下旬和3月报告，谷歌威胁分析小组（TAG）表示，已有证据表明这些漏洞正在被用于有限的、针对性的攻击。

目前，美国网络安全和基础设施安全局（CISA）已将这三项漏洞添加到其已知被利用漏洞（KEV）目录中，要求所有联邦机构在2025年6月24日之前应用供应商提供的补丁，强调了这些漏洞的紧迫性和严重性。

对此，高通在周一的公告中回应道，影响Adreno图形处理单元驱动程序的问题的补丁已于5月提供给OEM厂商，并强烈建议OEM厂商和消费者尽快在受影响的设备上部署更新。